データベース・セキュリティ・コンソーシアム(DBSC)は2009年2月17日,データベース向けのキュリティ・チェック・ツール「データベースセキュリティ安全度セルフチェック」の提供を始めた。DBSCのWebサイトで無償公開されている。
DBSCはセキュリティ関連ベンダーやデータベース関連ベンダーからなる任意団体。2005年にデータベース・セキュリティの普及促進のため,研究や情報発信を行う目的で設立された。DBSCに参加しているラックのデータベースセキュリティ研究所 須田堅一研究員によると,「インターネット側から見た場合,データベースはシステムの最深部に位置する。そのため,直接インターネットからの攻撃にさらされるWebサーバーやアプリケーション・サーバーのセキュリティ対策の方が重視され,データベースは後回しになりがち」だという。「アクセス・コントロールやログの取得など,非常に重要な対策が見逃されていることがある」(須田氏)。
特に中小企業などでは,データベース・セキュリティ対策としてまず何をすべきかわからないケースも多いという。そこでDBSCでは,企業や組織のシステム担当者が自社のデータベースのセキュリティ状況を簡単に確認できるように「データベースセキュリティ安全度セルフチェック」ツールを用意した。Webページ上で質問に答えていくと,「ログ」「DBMS初期設定」,「アカウント管理」「アクセスコントロール」「暗号化」「外部媒体・端末の利用制御」「その他,各種規制」といった分野別にセキュリティ対策実施レベルを表示してくれる(図1,図2)。
ツールのチェック項目は,DBSCが同日に公開した「データベースセキュリティガイドライン 第2.0版」に則っている。同ガイドラインは,データベースのセキュリティを守るために企業や組織が最低限実施しておくべき内容を,DBSCの参加企業が技術的な視点からまとめたもの。今回の新バージョンは2006年に公開された旧ガイドラインをアップデートするとともに,付録として「情報資産の重み-対策レベル対応表」と,「データベースセキュリティガイドライン-他フレームワーク対応表」を追加した。「情報資産の重み-対策レベル対応表」は企業の持っている情報資産の重要度によって,個々のセキュリティ対策に「必須」や「推奨」などの重み付けをした一覧表である。一方,「データベースセキュリティガイドライン-他フレームワーク対応表」は,PCI DSS(PCIデータセキュリティ基準)や政府機関統一基準など,他のセキュリティ基準に掲げられている対策が,データベースセキュリティガイドラインのどの項目に当てはまるかをまとめたものだ。チェック・ツールの診断結果では,実施していない対策がガイドラインの何項に当たるかも一覧表示する。そのため,そこからガイドラインを参照することで自社に必要な対策の詳細も確認できる。
[データベース・セキュリティ・コンソーシアムのWebサイト]
